시스코 보안 자격증(CCNA)뿐만 아니라 네트워크 보안 업무 분야에 새롭게 입문하는 실무자를 위한 필수 시스코 네트워크 보안 지침서다. 시스코 라우터를 기반으로 하는 IOS 방화벽은 물론 시스코의 대표적인 보안장비인 ASA의 CLI 명령어와 GUI 환경의 ASDM을 활용해 대부분의 보안 기술과 그 적용과정을 쉽게 설명한다. NAT, 접근 통제(ACL) 및 각종 VPN(IPSec, Remote Access, SSL) 기술을 모두 다룸으로써 초보자도 실제 네트워크 보안 엔지니어의 업무에 필요한 모든 부분을 쉽게 따라할 수 있도록 구성되어 있다. 또한, 부록을 통해 각종 네트워킹 실습 프로그램을 소개하고, 실습을 위한 GNS3 버전 1.x의 최소 환경 설정 방법을 안내한다.

■ 네트워크 보안의 근본 기술과 시스코 보안 입문을 위한 체계적인 설명
■ 네트워크 보안 실무와 CCNA-Security에 반드시 필요한 보안 기술 설명
■ IOS 방화벽은 물론 ASA 방화벽 설정의 광범위한 완벽 설명
■ ASA의 CLI 설정법은 물론 GUI 환경의 ASDM 설정법을 완벽 설명
■ 무분별한 외서 인용을 지양한 완벽한 한국적인 마인드로 설명

이 책은 기본적으로 네트워크 관련 선수 지식의 유무에 상관없이 모든 독자를 대상으로 한다. CCNA 보안 자격증을 준비하면서 CCNP 보안까지 취득하고자 하는 독자라면 특히 권할 만하다. 이 책은 CCNA 보안 과정을 다루는 것은 물론이고, CCNP 보안의 상당 부분까지 포함한다. 또한 시스코 환경의 네트워크에 대한 보안 업무를 새롭게 담당하는 독자에게도 이 책의 내용이 유용할 것이다. 그 외에 네트워크 보안을 궁금해하거나 네트워크 보안 엔지니어로 취업을 준비하는 학생에게도 도움이 될 수 있다.

이 책은 크게 네 개 파트로 나뉘며, 총 14개 장으로 구성되어 있다.

첫 번째 파트는 네트워크 보안의 기본편으로서 본격적인 네트워크 보안을 학습하기 전에 네트워킹의 기본과 네트워크 보안의 개념을 이해하기 위한 기본 지식을 설명한다. 네트워크 보안을 학습하는 데 꼭 필요한 기본적인 내용을 다루므로, 이 파트의 내용을 완전히 숙지한 후 본격적인 학습을 진행하는 것을 권장한다.

1장, ‘네트워크 기본’에서는 네트워크 보안을 적용 및 관리하기 위해 반드시 알아야 하는 기본적인 네트워킹 이론을 설명한다. OSI 7계층 모델의 기본적인 이론을 비롯해 네트워크 기본 이론 중에서 네트워크 보안을 학습하는 데 반드시 선행되어야 하는 내용만 선별해 설명하므로, 네트워크 입문자는 이 장의 내용을 반드시 숙지하길 바란다.

2장, ‘네트워크 보안’은 네트워크 보안에 대한 배경 지식을 전달하는 데 그 목적이 있다. 이 장에서는 네트워크 보안을 정의하고 대표적인 공격 형태를 설명한다. 또한 네트워크 보안에 사용되는 장비의 종류와 네트워크 보안 기술에 대해 개략적으로 살펴본다.

3장, ‘액세스 리스트’에서는 가장 기본적인 네트워크 보안 메커니즘인 액세스 리스트에 대해 설명한다. 시스코 라우터와 스위치 같은 IOS 장비에서 액세스 리스트를 설정 및 수정하고 확인하는 방법을 알아본다. 또한 시스코 ASA에서의 액세스 리스트가 IOS의 액세스 리스트와 어떻게 다른지 살펴보고 설정 및 확인 방법을 알아본다.

4장, ‘ASA 기본’은 시스코 ASA를 학습하는 데 꼭 필요한 선수 지식을 전파하는 데 목적을 둔다. ASA가 기존 IOS 장비와 어떻게 다르고, 어떻게 동작하는지 이해함으로써 이후 진행할 ASA를 활용한 네트워크 보안 정책을 적용하고 수행할 수 있게 한다. 또한 ASA 사용에 있어서 꼭 필요한 설정인 호스트 네임 지정, 인터페이스 설정, 라우팅 설정, 장비 접속 설정 등에 대해 알아본다.

두 번째 파트는 네트워크 장비 보호와 네트워크 분리에 대한 내용을 다룬다.

5장, ‘인증, 권한, 과금’에서는 시스템 접근 보안으로서 권장되는 패스워드 설정 및 장비 접근 제어에 대해 알아본다. 그리고 인증, 권한, 과금으로 구성되어 있는 AAA 설정(TACACS+)을 통해 네트워크 장비로의 접근통제를 구현한다. 복잡한 AAA 설정을 쉽게 설명하고 실제 운용 중인 장비에서 설정할 때 주의할 점 등을 살펴본다.

6장, ‘NAT’에서는 네트워크 보안 기술이면서 동시에 IP 주소 고갈을 지연하는 기술인 NAT를 소개하고, IOS 장비에서 NAT를 설정 및 확인하는 과정을 살펴본다. 또한 NAT 동작과 여러 용어를 쉽게 설명함으로써 설정 및 분석 시에 대처할 수 있는 능력을 배양하는 데 초점을 맞춘다. 이 장은 IOS 라우터를 활용한 NAT 구현뿐만 아니라, 이어지는 7장에서 ASA 방화벽의 NAT 구현을 학습하는 데 필요한 선수 지식을 제공한다.

7장, ‘NAT on ASA’에서는 ASA에서 NAT을 구현하고 확인하는 방법을 제시함으로써 방화벽을 활용해 NAT를 구현하는 방법에 대해 알아본다. ASA 장비에서의 매우 다양한 NAT 구현 방법을 모두 설명하고, 그들의 차이점을 이해하면서 각 NAT 종류에 대한 우선도(Priority)를 자세히 살펴본다.

세 번째 파트는 방화벽의 가장 대표적인 기능인 접근통제 기술에 대해 주로 다룬다. 접근통제의 정의뿐만 아니라 IOS 라우터와 ASA에서의 접근통제 구현 및 확인 방법을 제공한다.

8장, ‘방화벽 기본’에서는 접근통제의 정의와 원시적인 접근통제 방법인 패킷 필터링 기법에 대해 설명함으로써 9장과 10장에서 이어지는 영역 기반 방화벽과 ASA 방화벽을 이해할 수 있는 배경지식을 갖게 한다.

9장, ‘영역 기반 방화벽’에서는 IOS 방화벽의 새로운 접근통제 기술인 영역 기반 방화벽을 살펴본다. 이 장에서는 영역 기반의 자세한 개념을 설명하고 그 설정 및 확인 방법을 제공한다. 또한 영역의 개념과 트래픽 전달 방향, 그리고 C3PL을 활용한 트래픽을 분류해 적용하는 과정을 설명한다.

10장, ‘ASA의 방화벽’에서는 ASA 방화벽 기능에 대해 설명한다. ASA 방화벽의 기본적인 동작과 액세스 리스트의 특징을 재학습하고, 실제 접근통제 설정을 구현한다. 또한 오브젝트와 오브젝트 그룹을 활용한 설정 예를 통해 실무에 대비할 수 있게 한다.

마지막 네 번째 파트는 주로 VPN 기술에 대해 설명한다. VPN의 정의를 시작으로, IPSec VPN과 원격 접속 VPN을 다루고, 이어서 웹 VPN으로 알려진 SSL VPN에 대해 살펴본다.

11장, ‘VPN 개념’은 VPN에 대한 기본 이론을 설명한다. VPN의 기본인 터널의 개념과 그 동작 방식을 살펴보고, 가장 널리 사용되는 사이트 투 사이트 VPN에 대해 소개하며, 마지막으로 암호화의 정의와 그 동작 방식을 이해한다.

12장, ‘IPSec 사이트 투 사이트 VPN’에서는 IPSec VPN을 다룬다. IPSec의 개요와 특징, 동작 방식 등을 설명하고, 이를 VPN 터널에 적용해 데이터를 보호하는 과정을 학습한다. IOS 라우터에서의 IPSec 적용뿐만 아니라, ASA 방화벽에서의 적용 과정을 살펴본다.

13장, ‘원격 접속 VPN’에서는 개별 사용자의 내부 네트워크 접속을 위해 널리 사용되는 원격 접속 VPN에 대해 살펴본다. 원격 접속 VPN의 개념과 그 필요성에 대해 알아보고, IOS 라우터에서의 적용법을 다룬다. 또한 VPN 클라이언트 소프트웨어를 설치하고 설정하는 과정을 설명한다. 물론 ASA 방화벽에서의 구현법도 함께 소개한다.

14장, ‘SSL VPN’에서는 일반 사용자에게 널리 사용되는 SSL VPN에 대해 알아본다. SSL VPN의 개요를 학습하는 것을 시작으로 SSL의 동작 방식과 SSL VPN의 종류를 살펴본다. 클라이언트 소프트웨어를 사용하지 않는 클라이언트리스 SSL VPN 설정뿐만 아니라, 클라이언트 소프트웨어를 사용한 클라이언트 모드 SL VPN 설정에 대해서도 학습한다.

마지막으로, 부록에서는 네트워킹 가상 실습 환경을 구축할 수 있는 각종 소프트웨어를 소개한다. 그리고 새롭게 소개된 GNS3 버전 1.x의 최초 환경 설정과 이 책의 실습을 위한 실습 환경 구성 과정을 설명한다.

어느덧 호주에 정착한 지 만 5년이 훌쩍 지났다. 처음 이곳에서 일하면서 나를 당황시킨 것은 영어뿐만이 아니었다. ISP망과 기업망의 차이에서 오는 두려움이 나를 엄습했다. ISP에서만 일했던 나로서는 기업망에 대한 두려움이 컸다. 그 두려움의 대부분은 네트워크 보안이었다.
한국에서 방화벽이나 IPS, IDS에 대해 잠시 경험했었지만, 거의 대부분은 국산 장비로 이루어져 있었다. 그리고 보안에 그다지 관심이 없던 터라, 체크포인트(CheckPoint)나 주니퍼 넷스크린(Juniper NetScreen)과 같은 장비에 대한 경험이 전혀 없었다. 이곳에서 처음 접한 방화벽이 체크포인트 방화벽인데, 영어 실력도 부족한 데다가 생전 보지도 못한 장비를 다루려고 하다 보니 정신이 하나도 없었다. 물론 한국에서 고객을 대상으로 방화벽 지원 업무도 했었지만, 대부분의 장비는 시스코 PIX 장비였다. 그나마도 많은 경험을 하지 못했던 터였다.
한편, 시스코가 성능을 대폭 향상시킨 ASA 방화벽을 출시하면서, 많은 기업이 ASA 방화벽을 설치하기 시작했다. 고가의 체크포인트보다는 적절한 가격의 ASA를 선호하게 된 것이다. 그 이후 본격적인 ASA 방화벽을 공부하기 시작했다. 그러나 CCNA 보안 자격증을 중심으로 공부하려고 하다 보니, CCNA는 IOS 방화벽을 기준으로 이루어져 있는 것을 알게 되었다. 내가 필요한 부분을 공부하자니 CCNP 보안 교재를 참고해야 했다. 그것도 한 과목이 아닌 두 과목을….
이 과정에서 실제 업무에 필요한 부분을 잘 설명한 교재가 없다는 사실을 인지하고, 언젠가는 단순히 자격증 취득만이 아닌 실무자에게 정말 필요한 내용을 다루는 교재를 마련해야겠다는 생각을 하게 되었다.
이 책은 절대 완벽하지 않다. 그리고 전문가의 눈으로 볼 때 조금은 의아해할 만한 부분도 있을 것이다. 그러나 그런 부분은 입문자에게 조금이라도 더 쉽게 설명하기 위한 노력으로 봐주면 감사하겠다. 그리고 이 책은 시스코 보안 자격증뿐만 아니라, 네트워크 보안에 입문하는 실무자에게도 많은 도움이 될 것으로 확신한다. 네트워크 보안에 입문하는 과정에서 몸소 경험했던 입문 서적과 실무 사이에서의 괴리를 이 책 전반을 통해 절충하고자 노력했기 때문이다.
마지막으로 기꺼이 이 책을 구입해주신 독자 여러분에게도 무한한 감사의 마음을 전한다.

정철윤

현재 호주 IT 업체에서 라우팅/스위칭 솔루션 및 네트워크 보안 솔루션, 부하 분산 솔루션 등을 통해 대형 기업망 고객을 지원하고 있다. TK의 네트워크 부문 강사로서 많은 활동를 펼치며 학습 교재를 편찬했다. 또한 여러 사설 교육센터의 객원 강사로서 CCNA, CCNP, CCIE 과정을 진행하는 등 많은 강의를 제공했고, 현재도 많은 네트워크 입문자의 멘토로서 네트워크 입문을 도와주고 있다. 저서로는 『시스코 라우팅 완전 분석』(에이콘출판, 2013)이 있다.